Trzy lata z RODO - i jak co roku podsumowanie

To się normalnie robi tradycja.

W dniu 25 maja 2018 r. napisałem artykuł "Co oznacza RODO-ERA?".

W maju 2019 r. był wywiad "Rok z RODO – wywiad z mec. Pawłem Ludwiczakiem".

W dniu 25 listopada 2019 r. "Półtora roku z RODO".

W dniu 26 maja 2020 r. "Dwa lata z RODO - małe podsumowanie".

W dniu listopadzie 2020 "RODO - o czym trzeba pamiętać po 2,5 roku?".

Dziś mijają trzy lata z RODO i co robię? 

Piszę artykuł, że minęły trzy lata z RODO.

Chyba coś jest w tym żarcie znajomych, że jestem "Pan RODO". Choć na Compliance, Whistleblowing, Ład korporacyjny i umowy nadal poświęcam więcej czasu.

O RODO napisałem ponad 60 artykułów i jestem współautorem kilku książek oraz autorem jednego poradnika. Dla porównania o Compliance napisałem ponad 110 artykułów. 

SPOD zrobił piękne plakaty. Jako członek Stowarzyszenia Praktyków Ochrony Danych Osobowych wrzucę jeden

Nawet IOD`em zostałem. Więc znam już z każdej strony problemy z RODO (z jednej nie znam - z punktu widzenia PUODO).

Może dziś podzielę się paroma swoimi spostrzeżeniami:

1. nadal są akty prawne odwołujące się do starej ustawy o ochronie danych osobowych,
2. nadal są podmioty, w tym publiczne powołujące się na starą ustawę o ochronie danych osobowych,
3. rośnie świadomość prawna Polaków, ale nadal Kultura prawna jest niska. Nadal wiele podmiotów nie ma wdrożonych Systemów Ochrony Danych Osobowych lub są one wdrożone pozornie, nieskutecznie lub nie są aktualizowane,
4. RODO nadal nie ukróciło praktyk Google, Facebook`a, Amazona, Microsoftu i Apple, 
5. nadal brak audytów powdrożeniowych i audytów cyklicznych Systemów Bezpieczeństwa Danych Osobowych oraz szkoleń cyklicznych dla pracowników,
6. coś drgnęło z kodeksami (w końcu) ale za to o podmiotach certyfikujących chyba możemy zapomnieć,
   
7. nadal są organizacje gdzie brakuje IOD`a. jest on lekceważony, pomijany, fasadowy lub ma niedostateczne zasoby,
8. coraz częściej funkcja IOD jest łączona z funkcją oficera Compliance. Oficer Compliance ma coraz szerszy zakres działania w organizacji,
   
9. pandemia pokazała, że System Ochrony Danych Osobowych musi być żywy. Wdrożenie pracy zdalnej na masową skalę, walka z koronawirusem itd. pokazały, która organizacja robi na bieżąco analizy ryzyk, aktualizuje dokumentację (a mają one kluczowe znaczenie w razie sporu z PUODO przed WSA i NSA),
10. RODO miała być inteligentną regulacją i pozwolić zmniejszyć biurokrację. O ile RODO faktycznie okazało się być inteligentną regulacją o tyle poziom obowiązków dokumentacyjnych i biurokratycznych, nie zmniejszył się a nawet zwiększył. Myślę, że jest to negatywny spadek po starej ustawie i starej filozofii. Podmiot ma po pierwsze chronić adekwatnie prawa i wolności ludzi poprzez ochronę danych osobowych oraz wypełniać swe obowiązki. Ale po drugie musi to wszystko dokumentować. A to już jest XX wieczne myślenie i obciążenie dla wielu podmiotów. Kazuistyczne czytanie przepisów, słownikowa wykładnia, kult dokumentu to parę zmór, które trapią RODO,
11. nadal rozczarowuje mnie PUODO - oceniam go na 4 (w skali 1-6). Za mało działalności edukacyjnej, za mało wytycznych i zaleceń. Do tego niektóre jego decyzje mam wrażenie, że były polityczne a nie merytoryczne - np. w sprawie nielegalnego przekazania Poczcie Polskiej danych wyborców albo oderwane od rzeczywistości i zbyt ortodoksyjne, jak np. w sprawie badania trzeźwości,
    
12. RODO ma zastosowanie do każdego podmiotu i do każdego procesu. W chwili obecnej mam niesamowitą frajdę intelektualną badając powiązania pomiędzy RODO i Whistleblowingiem. Ilość problemów jest znaczna. Będą kolejne artykuły.

Na końcu parę rad:

1. System bezpieczeństwa danych osobowych musi być integralną częścią Kultury organizacji,
2. tone from the top – przykład idzie z góry - to wyższe kierownictwo ma dawać przykład i zapewnić IOD`owi odpowiednia pozycję i zasoby,
3. każdy jest odpowiedzialny za ochronę danych osobowych – na każdym szczeblu organizacji,
4. wdrożenie i utrzymanie skutecznego systemu bezpieczeństwa danych osobowych odpowiada Administrator, czyli najwyższe kierownictwo,
5. kluczowa w systemie ochrony danych osobowych jest KOMUNIKACJA,
6. wdrożenie RODO to nie tylko praca prawnika, informatyka czy specjalisty od ryzyk. To przede wszystkim praca osób przetwarzających dane osobowe,
7. dobry IOD ze wsparciem góry to skarb, zły to przekleństwo, dobry bez wsparcia góry mało może,
8. system bezpieczeństwa danych osobowych musi działać w cyklu Deminga.

 

Każdy podmiot powinien sobie zadać parę pytań:

1. Kiedy był u mnie ostatni audyt systemu ochrony danych osobowych?
2. Czy przeszkolono wszystkich pracowników? I kiedy mieli ostatnie szkolenie?
3. Kiedy ostatnio aktualizowano dokumentację RODO?
4. Masz IOD1a? A kiedy ostatnio wysłałeś go na szkolenie? Kiedy ostatnio z nim rozmawiałeś? Kiedy dostałeś od niego ostatni raport/sprawozdanie?

Jeżeli odpowiedź choć na jedno pytanie brzmi „nie” lub „minął ponad rok” to radzę szybko poszukać pomocy eksperta.

Oczywiście ekspert zada dużo innych pytań. Po to by móc zdiagnozować problemy a potem pomóc je rozwiązać. Zanim z małych problemów urodzi się duży problem lub kryzys.

Niech moc RODO będzie z wami

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 35

Ostatnio znajomy opowiedział dowcip:

"Dzwoni telefon.

- Dzień dobry, czy to telefon CBA do anonimowego zgłaszania naruszeń?

- Tak Panie Pawle.".

Oczywiście nie powinno tak być. Niestety Policja i inne służby mogą nas podsłuchiwać i sprawdzać bez faktycznej kontroli.  Dlatego poparłem akcję fundacji Panoptykon "Nikt ci nie powie, kiedy będą cię podglądać". Podpisz i ty petycję. Chrońmy naszą prywatność.

 

Kontynuując ciekawostki z Compliance.  

 

Nadal nie ma ani nowej ustawy o odpowiedzialności podmiotów zbiorowych, ani ustawy wdrażającej dyrektywę o sygnalistach. Nawet projektu nie ma. A na wdrożenie systemów whistleblowing`owych w sektorze publicznym i w dużych przedsiębiorstwach zostało 7 miesięcy. Chyba byłem prorokiem, kiedy pisałem, że będzie gorzej niż z RODO

 

Ostatnio wszyscy się gorączkowali, bo Fundacja Batorego poinformowała w dniu 21 kwietnia br., że Ministerstwo Rozwoju, Pracy i Technologii odpowiedziało, że  toczą się prace w kierunku przygotowania odrębnej ustawy dedykowanej ochronie sygnalistów. W drugim kwartale 2021 r. projekt ustawy ma być poddany konsultacjom publicznym.  Jak zobaczę to uwierzę.

 

W dniach 22-23 kwietnia 2021 r. brałem udział (jako słuchacz) w X konferencji Rad Nadzorczych. Pojawił się też temat Compliance i sygnalistów. Lepiej późno niż wcale i trochę mało ale zawsze lepszy rydz niż nic.

W dniu 21 maja 2021 r. poprowadzę kolejne e-szkolenie "Jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Serdecznie zapraszam.

Jeżeli ktoś potrzebuje pomocy ekspertów we wdrażaniu systemów Compliance lub systemu dla sygnalistów to zapraszam do kontaktu.

 

Jeżeli ktoś szuka wiedzy polecam największy zbiór artykułów o Public Compliance (i w ogóle o Compliance) znajdziesz go TU.  

 

Czas na ciekawostki z RODO

 

W ostatnim miesiącu miały miejsce olbrzymie wycieki danych, między innymi z Facebook`a. Jestem ciekaw czy Facebook zapłaci kary i odszkodowania w Państwach UE. To będzie prawdziwy test RODO.

Swoją drogą radzę chronić swoje dane i prywatność.

Cyber-bezpieczeństwo i AI to tematy, które już są bardzo ważne a będą jeszcze ważniejsze.

 

Czas na ciekawostki z prawa handlowego

 

Może w dniu 1 lipca 2021 r. wejdzie w życie nowelizacja wprowadzająca do KSH prostą spółkę akcyjną. Chyba, trzeba będzie się w końcu poważnie zając tym tematem.

 

Niech moc Compliance będzie z wami

 

Ps na stronie www.dariuszuzycki.com można pobrać książkę (w pdf) "Czy jesteś tym, który puka". Recenzję znajdziesz na moim blogu.

 

 

 

 

 

 

 

 

Życzenia Wielkanocne i Ciekawostki z prawa handlowego i nie tylko - odcinek nr 34

Chciałbym moim czytelnikom i klientom życzyć zdrowych Świąt Wielkanocy. Zdrowia i jeszcze raz zdrowia. Miejmy nadzieję, że pandemia Koronawirusa w końcu się skończy. 

Wybaczcie ale dziś będzie jeszcze krócej niż zwykle.

Zaczynamy od ciekawostek z Compliance.  

Nadal nie ma ani nowej ustawy o odpowiedzialności podmiotów zbiorowych, ani ustawy wdrażającej dyrektywę o sygnalistach. Nawet projektu nie ma. A na wdrożenie systemów whistleblowing`owych w sektorze publicznym i w dużych przedsiębiorstwach zostało niecałe 9 miesięcy. Chyba byłem prorokiem, kiedy pisałem, że będzie gorzej niż z RODO

W dniu 9 marca 2021 r. zostały przyjęte nowe zasady ładu korporacyjnego dla spółek notowanych na Głównym Rynku GPW  – „Dobre Praktyki Spółek Notowanych na GPW 2021” (Dobre Praktyki 2021, DPSN2021).

W dniu 16 kwietnia 2021 r. poprowadzę e-szkolenie "Jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Serdecznie zapraszam.

Jeżeli ktoś potrzebuje pomocy ekspertów we wdrażaniu systemów Compliance lub systemu dla sygnalistów to zapraszam do kontaktu.

Jeżeli ktoś szuka wiedzy polecam największy zbiór artykułów o Public Compliance (i w ogóle o Compliance) znajdziesz go TU.  

Czas na ciekawostki z RODO

Dzisiaj nie będzie o RODO. Dzisiaj chciałbym zwrócić waszą uwagę na inicjatywę Fundacji Panoptykon. Uważam, że to skandal jak masowo i bez kontroli podsłuchują i szpiegują nas obecnie służby. Ja podpisałem petycję. Podpisz i ty. A TU masz link do strony fundacji. 

Polecam też artykuły fundacji Panoptykon. 

Czas na ciekawostki obywatelskie

Chciałbym polecić lekturę dwóch raportów:

1) "Państwo i My. Osiem grzechów głównych Rzeczypospolitej"

2) "Państwo i My. Osiem grzechów głównych Rzeczypospolitej  - 5 lat później"

Bardzo pouczająca lektura

 

Niech moc Compliance będzie z wami 

A na koniec mam prośbę.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 33

Najpierw trochę się pochwalę :-)

Miałem okazję wystąpić na dwóch wydarzeniach organizowanych przez Puls Biznesu. I zebrałem nie najgorsze noty. W skali 1-5 (1 źle - 5 idealnie)  jako uczestnik dyskusji o Compliance dostałem średnio 4,88 (najwięcej było 4,94). Certyfikaty na pamiątkę.

Czas na meritum.

Zaczynamy od ciekawostek z Compliance.

Powoli coraz więcej osób pisze whistleblowingu i Compliance. Największy zbiór artykułów o Public Compliance (i w ogóle o Compliance) znajdziesz TU. Kto zgadnie kto je napisał? :-) 

Niestety nadal nie ma ani nowej ustawy o odpowiedzialności podmiotów zbiorowych, ani ustawy wdrażającej dyrektywę o sygnalistach. Nawet projektu nie ma. A na wdrożenie systemów whistleblowing`owych w sektorze publicznym i w dużych przedsiębiorstwach zostało niecałe 10 miesięcy.

Przypominam, że w dniu 19 marca 2021 r. poprowadzę e-szkolenie "Systemy antykorupcyjne według wytycznych CBA". Serdecznie zapraszam. Jeszcze są wolne miejsca.

W dniu 16 kwietnia 2021 r. poprowadzę e-szkolenie "Jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Również serdecznie zapraszam.

Jeżeli ktoś potrzebuje pomocy ekspertów we wdrażaniu systemów Compliance lub systemu dla sygnalistów to zapraszam do kontaktu.

Czas na ciekawostki z RODO

Prezes UODO poinformował, że pozytywnie zaopiniował dwa pierwsze projekty kodeksów postępowania RODO tj. projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali. Jak czytamy w informacji z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach. LINK do informacji.

Jestem ciekaw jakie następne kodeksy zostaną pozytywnie zaopiniowane.  

Poza tym normalna: kary, wytyczne, zalecenia itp.

Inne ciekawostki

W dniu 25 lutego 2021 r. SN w sprawie sygn. akt.III CZP 16/20 wydał uchwałę: "Dochodzenie naprawienia szkody przez wykonawcę, którego oferta nie została wybrana wskutek naruszenia przez zamawiającego przepisów ustawy z dnia 29 stycznia 2004 r. Prawo zamówień publicznych (tekst jednolity: Dz.U. z 2019 r., poz. 1843) nie wymaga uprzedniego stwierdzenia naruszenia przepisów tej ustawy prawomocnym orzeczeniem Krajowej Izby Odwoławczej lub prawomocnym orzeczeniem sądu wydanym po rozpoznaniu skargi na orzeczenie Krajowej Izby Odwoławczej.". Zapowiada się ciekawie. Zwłaszcza, że od 1 stycznia br. mamy nowe PZP.

Policzyłem ustawy zmieniające KSH: w 2020 r. było ich 7 zmian (niektóre bardzo duże) i wydano tekst jednolity. I już wiadomo że do 1 lipca br. KSH zmieni aż 8 ustaw. I jak to się ma do pewności obrotu?

Niech moc Compliance i RODO będą z wami. 

A na koniec mam prośbę.

 

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 32

 I oto pierwszy w 2021 roku, a w ogóle 32 odcinek Ciekawostek z prawa handlowego i nie tylko.

Zaczynamy od ciekawostek z Compliance.

Opublikowano Indeks Percepcji Korupcji. Według Rządowego Programu Przeciwdziałania Korupcji 2018-20 powinniśmy mieć 65 pkt. A mamy 56 pkt. Cel więc nie został osiągnięty. Co gorsza od paru lat spadamy cały czas w ratingu. Obecnie jesteśmy na 45 pozycji. LINK do Corruption Perceptions Index.

Niestety do dziś nie ma ani nowej ustawy o odpowiedzialności podmiotów zbiorowych, ani ustawy wdrażającej dyrektywę o sygnalistach. Upolitycznienie prokuratury, administracji i służb też nie poprawia sytuacji. 

NIK opublikował "ZAGROŻENIE KORUPCJĄ W ŚWIETLE WYNIKÓW KONTROLI NIK OPUBLIKOWANYCH W LATACH 2016–2020". Według NIK ryzyko korupcyjne się zmniejszyło. Według mnie to się zwiększyło. Podobnie jak ryzyko konfliktu interesu, niegospodarności itp. itd.

Jeżeli ktoś potrzebuje pomocy ekspertów we wdrażaniu systemów Compliance lub systemu dla sygnalistów to zapraszam do kontaktu.

Czas na ciekawostki z RODO

Dziś, 28 stycznia Dzień Ochrony Danych Osobowych, a w dniu 9 lutego Dzień Bezpiecznego Internetu. 

Polecam dwie publikacje PUODO

1) "Kodeksy postępowania muszą spełniać określone wymagania" - jest szansa że pojawią się pierwsze kodeksy. W końcu po prawie 3 latach,

2) "Akredytacja podmiotów monitorujących kodeksy postępowania" - UODO przedstawił wymogi akredytacji podmiotów monitorujących przestrzeganie postanowień kodeksów postępowania. Po prawie 3 latach. Kto będzie chciał zdobywać akredytację i kto od nich potem wykupi usługi? 

Obserwuję dwie bardzo niebezpieczne tendencje.

Pierwsza to, że zaczyna się liczyć papier (np. zgoda, procedura itd.) a nie bezpieczeństwo naszych praw i wolności. Ludzie np. zaczynają klikać zgody bez czytania bo chcą stronę otworzyć.

Po drugie organy unijne i PUODO wydają czasami wytyczne i decyzje oderwane od rzeczywistości. Nie możliwe do spełnienia jak w przypadku transferu danych za granicę lub zagrażające bezpieczeństwu jak np. zakaz badania trzeźwości. 

Inne ciekawostki

W dniu 19 marca 2021 r. poprowadzę e-szkolenie "Systemy antykorupcyjne według wytycznych CBA". Serdecznie zapraszam.

W dniu 16 kwietnia 2021 r. poprowadzę e-szkolenie "Jak zbudować skuteczny system Whistleblowing`u i system zarządzania zgodnością (Compliance)". Również serdecznie zapraszam.

Szykuję dla moich klientów i czytelników następne niespodzianki :-)

 Niech moc Compliance i RODO będą z wami.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 31

Zastanawiałem się jak zakończyć ten rok na blogu. 

W zeszłym roku zakończyłem go postem Ciekawostki z prawa handlowego i nie tylko - odcinek nr 20, więc w tym roku zrobię tak samo. Wątpię by wszyscy czytali ciekawostki przed Sylwestrem ale po Sylwestrze i weekendzie będzie jak znalazł :-)

Zaczynamy oczywiście od  Ciekawostki z COMPLIANCE

W grudniu opublikowano Zarządzenie Nr 229 Prezesa Rady Ministrów z dnia 1 grudnia 2020 r. w sprawie wyznaczenia ministra właściwego do przeprowadzenia prac legislacyjnych mających na celu implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Uni.

Minister właściwy do spraw pracy ma załatwić sprawę przeprowadzenie na etapie rządowych prac legislacyjnych mających na celu implementację dyrektywy o sygnalistach. Wygląda na to, że rosną szansę na ustawę o sygnalistach. Oby minister nie zapomniał, że sygnalistami są nie tylko pracownicy. Trzymam kciuki by na RCL szybko pojawił się projekt ustawy, a Minister słuchał niezależnych ekspertów.

 

Pojawiły „Wytyczne antykorupcyjne dla administracji publicznej w zakresie jednolitych rozwiązań instytucjonalnych oraz zasad postępowania dla urzędników i osób należących do grupy PTEF”.

Omawiam je w serii artykułów na Inforze.

 

Co mogę dodać na zakończenie roku?

Wygląda na to, że 2021 r. będzie w końcu rokiem Compliance w Polsce. Dlaczego?

1) czeka nas wdrażanie Dyrektywy o sygnalistach,

2) jest szansa na nową ustawę o odpowiedzialności karnej podmiotów zbiorowych,

3) coraz więcej się mówi i pisze o Public Compliance,

4) mamy kolejne dyrektywy AML

5) ilość i szybkość zmian w prawie, w tym duże projekty zmian np. ksh powodują, że ryzyka prawna rosną

6) pandemia koronawirusa i wywołane nią zmiany oraz kryzys pokazują niezbędność zarządzania ryzykami, w tym ryzykami prawnymi.

Compliance powinien przede wszystkim:

1) zadbać o   realizację kocepcji tone from the top. To też test dla najwyższego kierownictwa czy traktuje Compliance serio i jako partnera, czy też compliance jest tylko pozorny,

2) zapewnić kadrze meneżerskiej stałe wsparcie w procesach decyzyjnych (o ile będzie w nie włączany, a według mnie powinien), w tym nie tylko o znaczeniu operacyjnym ale i strategicznym,

3) budować świadomość w organizacjach i zadbać o właściwą komunikację.

 

Ciekawostki z RODO

Z RODO w grudniu też się sporo działa. Wybrałem dla Państwa dwie decyzje PUODO.

 

Według Prezesa Urzędu Ochrony Danych Osobowych Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło PUODO naruszenia ochrony danych osobowych. Organ nadzorczy nałożył więc na spółkę karę pieniężną w wysokości 85 588 zł. Skutek może być taki, że część doradców zacznie doradzać zgłaszanie wszystkich naruszeń do PUODO. A nie o to chodzi w RODO - LINK do decyzji.

Z decyzji Prezesa Urzędu Ochrony Danych Osobowych, który nałożył na Virgin Mobile Polska karę w wysokości 1,9 mln zł za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych, wynika, że  należy przeprowadzać regularne i kompleksowe testy, pomiary i oceny skuteczności zastosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych. Inaczej podmiot naraża się na odpowiedzialność i kary.  - LINK do decyzji. Może teraz zaczną być zlecane cykliczne audyty powdrożeniowe systemów ochrony danych osobowych.

Inne Ciekawostki

Przypominam o Cyberbezpieczeństwie i zarządzaniu ryzykami wywołanymi przez pandemię i kryzys.

Jeżeli ktoś chce wysłuchać podsumowanie 2020 r. to zapraszam do obejrzenia rozmowy ze mną:

 

Od 16 lat prowadzę różne projekty prawne. W dniu 27 stycznia 2021 r. będę prelegentem na e-konferencji "Zarządzanie projektami dla prawników". Opowiem o roli komunikacji w zarządzaniu projektami. Serdecznie zapraszam.

 

A przy okazji
SZCZĘŚLIWEGO I ZDROWEGO NOWEGO ROKU

BY BYŁ MNIEJ CIEKAWY NIŻ 2020 ;-)

Niech moc Compliance i RODO będzie z wami.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 30

Nie dawno była piąta rocznica bloga i kancelarii (LINK do podsumowania) a dziś z lekkim poślizgiem mamy trzydziesty odcinek Ciekawostek z prawa handlowego.

No ale nie czas na szampana i tort. To czas pracy. A więc zaczynamy.

Ciekawostki z COMPLIANCE

Nadal nie ma ani nowego projektu ustawy o odpowiedzialności podmiotów zbiorowych ani projektu ustawy o sygnalistach. Niby mamy rok na wdrożenie dyrektywy o sygnalistach. Ale to tak naprawdę już tylko rok. Nie chcę bawić się w Kasandrę, ale będzie gorzej niż z RODO. Gdyby jednak jakiś podmiot z sektora publicznego lub sektora prywatnego chciałby zwiększyć swą wiedzę lub potrzebował pomocy to zapraszam do kontaktu. 

O  wytycznych CBA w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym pisałem na Inforze i prawo.pl.

Dziś chciałbym wspomnieć, że GPW pracuje nad projektem "Dobrych Praktyk Spółek Notowanych na GPW 2021". Obecnie trwają konsultacje. O wytycznych na pewno jeszcze będę pisał.

Pojawił Przewodnik na temat społecznej odpowiedzialności administracji. To oznacza, że CSR wchodzi też do sektora publicznego. Compliance i CSR wchodzi do administracji rządowej, a jednocześnie rząd łamie Konstytucję i zasady praworządności, upartyjnia wszystkie instytucje itd. itp.. Mam wrażenie schizofrenii. Natomiast nadal wierzę, że samorząd terytorialny zda egzamin. Choć w niejednym wprowadzenie systemu Compliance czy CSR może przypominać którąś z prac Heraklesa. 

Ale np. ostatnio trafiłem na stronę Urzędu Miasta Warszawa i okazało się, że Prezydent Warszawy stworzył Biuro Zgodności. W strukturę organizacyjną Biura wchodzi: 

1) Wydział Ryzyka – BZ-WZ; 

2) Wydział Etyki i Polityki Antykorupcyjnej – BZ-WE; 

3) Wydział Bezpieczeństwa – BZ-WB; 

4) Wydział Współpracy z Organami Państwa – BZ-WW;

5) Zespół Dokumentacji Bezpieczeństwa IT – BZ-WP;

6) Zespół Analiz – BZ-ZA;

7) Zespół Organizacyjny – BZ-ZO;

8) Samodzielne Wieloosobowe Stanowisko Pracy ds. Obsługi Prawnej – BZ-OP.

Łącznie kilkadziesiąt etatów.Trzymam kciuki za sukces i branie przykładu przez inne Miasta, powiaty i gminy. Choć oczywiście wielkość komórki ds zgodności musi wynikać z potrzeb i możliwości danej jednostki samorządu terytorialnego. Jakby co z chęcią pomogę np. w analizach.

Ciekawostki z RODO

Specjalistów od RODO zajmują teraz głównie następujące problemy:

1) czy można pracowników wysyłać na testy w kierunku Koronawirusa?

2) czy można informować pracowników, że inny pracownik/inni pracownicy są chorzy na Covid? 

W przepisach są luki. Według mnie, ponieważ pracodawca opowiada za zdrowie pracowników i bezpieczne warunki pracy odpowiedź brzmi TAK i TAK. Ale pod pewnymi warunkami. Może napiszę o tym artykuł. Hmmm

3) po 31 grudnia 2020 r. będziemy musieli zmierzyć się z Brexitem i dodatkowymi obowiązkami w przypadku przekazywaniu danych osobowych do Anglii

4) jak legis artis korzystać z Facebook`a, usług Google, Microsoft itd. w związku z przekazywaniem danych poza granicę UE i ostatnim wyrokiem TSUE w sprawie Schrems II.

 

Oczywiście problemów jest dużo więcej. Treść RODO się nie zmienia, ale zmienia się otoczenia prawne i faktyczne a to powoduje, że jak IOD nie trzyma ręki na pulsie i nie aktualizuje systemu ochrony danych osobowych to jest on już szybko będzie nieaktualny lub nieskuteczny. 

Inne Ciekawostki

Na razie zapadła cisza nad nowelizacją KSH wprowadzającą tzw. prawo holdingowe. Wiadomo Koronawirus. Mam nadzieję, że choć raz rządzący posłuchają ekspertów i diametralnie zmienią projekt zgodnie z ich wskazówkami i propozycjami.

Przypominam, że od 1 stycznia 2021 r. wchodzi w życie nowe Prawo Zamówień Publicznych. A tu słychać plotki o jakieś sporej nowelizacji lub przedłużeniu vacatio legis. No nic pożyjemy zobaczymy.

Rozpisałem się. Starczy na dziś.

Niech moc Compliance i RODO będzie z wami.

W czym specjalizuje się Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka?

Za dwa tygodnie moja kancelaria radcy prawnego będzie obchodziło pięciolecie działalności. I dużo ostatnio myślę, o początkach kancelarii, jej drodze oraz dalszych planach i celach.

Kocham rozmawiać z ludźmi, w tym z moimi klientami i partnerami. Pomagam im w różnych rzeczach. Uczę ich i uczę się od nich. Czasami inspirują mnie zachęcając np. bym napisał książkę o marketingu prawniczym lub opowiedział o tym. Bo podobno robię to nieźle. Ostatnio jeden z nich mnie zaskoczył słowami "Nie wiedziałem, że na tym też się znasz", a chodziło o prawo gospodarcze. 

No cóż nie każdy musi czytać kilkaset artykułów, które napisałem, studiować mój profil na Linkedln lub stronę/bloga mojej kancelarii. Nie każdy miał szansę realizować ze mną różne projekty.

W sumie to ja powinienem zadbać o to by każdy wiedział w czym jestem ekspertem. To ja odpowiadam za budowę swej marki i reputacji. Jeżeli ktoś nie zna wszystkich moich specjalizacji to tylko mój błąd. Każdy może popełnić błąd (o tym też pisałem kiedyś) ale błędy należy  naprawiać.

Jeżeli nie wiesz w czym się specjalizuję ja i moja kancelaria to nie musisz już szukać tej informacji. Wystarczy, że przeczytasz tego posta.

Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka specjalizuje się w:

1) Compliance czyli zarządzaniu ryzykami prawnymi i zgodnością

2) RODO - ochronie danych osobowych

3) umowach gospodarczych

4) spółkach handlowych, w tym nadzorze właścicielskim i due diligence

5)  zamówieniach in house, w szczególności w publicznym transporcie zbiorowym.

W tym zakresie świadczę pomoc prawną w tym też szkolę, audytuję i doradzam.

Moje zawodowe zainteresowania to negocjacje i mediacje, finanse, analizy, strategia i zarządzanie. I dlatego jestem nietypowym prawnikiem. Bo kocham liczby (w końcu jestem po mat-infie) oraz patrzę biznesowo i całościowo na problemy. 

Prywatnie jestem molem książkowym (kocham m.in. szeroko pojętą fanstastykę), kocham taniec towarzyski (trenowałem 18 lat), gry strategiczne, RPG, szachy i brydż. 

Nie znam się i nie świadczę pomocy prawnej choćby z podatków. Mam bowiem zasadę: Nie znasz się to nie dotykaj.

Poza tym działam w segmencie B2B i B2G. Na rzecz osób fizycznych co do zasady nie świadczę pomocy prawnej (może się to kiedyś zmieni).

No to teraz wiesz już kim jestem i w czym się specjalizuje  Kancelaria Radcy Prawnego Pawła Bronisława Ludwiczaka.

W czym mogę Ci pomóc? :-)

Jak organizator może wybrać operatora publicznego transportu zbiorowego w dużych miastach? oraz krótkie wspomnienia itp.

Zbliża się kolejna, piąta już rocznica bloga. Powoli szykuję się do podsumowania ostatniego roku.
W ramach nostalgicznej wycieczki spojrzałem o czym pisałem w pierwszych dwóch miesiącach prowadzenia bloga.

Pisałem o:
1) zawodzie radcy prawnego i nadal o tym piszę, a nawet powstał cykl "Luźne przemyślenia prawnika"
2) o prawie gospodarczym i jak wyżej. Nadal siedzę w temacie i też powstał cykl "Ciekawostki z prawa handlowego i nie tylko"
3) Compliance - właśnie sobie uświadomiłem, że już 5 lat o tym piszę.
4) zamówieniach in house i publicznym transporcie zbiorowym - o tym piszę już dużo rzadziej niż w początkach bloga - choć nadal klienci zgłaszają się do mnie o pomoc prawną w tym zakresie.

Jak pewnie zauważyłeś, nie pisałem w pierwszych miesiącach o ochronie danych osobowych.

Nie wiem czy wiesz, ale w marcu 2017 r. opublikowałem napisany przez siebie Poradnik „Jak udzielić zamówienia in house w 4 krokach – krótka ściąga”. Minęło ponad 3,5 roku. Niedługo wejdzie w życie nowe prawo zamówień publicznych. Poradnik więc częściowo nie jest już aktualny. Jednocześnie kilka-kilkanaście razy do roku udzielam porad jak np. udzielić / zawrzeć umowę pomiędzy organizatorem a operatorem.

Nie planuję na razie uaktualniać powyższego Poradnika ponieważ Compliance, systemy Whistleblowingu, RODO i zarządzanie w tym nadzór właścicielski zabierają mi cały czas.

Myślę jednak, że przyda się krótka ściąga dla organizatorów w dużych miastach (jakby organizator lub operator potrzebował pomocy prawnej zapraszam do kontaktu. Z chęcią złożę ofertę).

Dobra a teraz krótka ściąga dla dużych miast. Zgodnie z ustawą o publicznym transporcie zbiorowym (art. 19 i następne) organizator dokonuje wyboru operatora w trybie:
1) ustawy Prawo zamówień publicznych (uwaga niedługo wchodzi w życie mowa ustawa) - czyli co do zasady głównie przetarg - organizator płaci zwykle za tzw. wozokilometr, a przychód z biletów jest przychodem organizatora.
2) ustawy o umowie koncesji na roboty budowlane lub usługi - ponieważ przychód z biletów w żadnym dużym mieście nie pokrywa połowy kosztów publicznego transportu zbiorowego, a w tym rozwiązaniu stanowi on przychód Operatora a Organizator nie powinien pokrywać więcej niż 50% kosztów (w uproszczeniu) de facto to rozwiązanie nie jest stosowane w Polsce w dużych miastach. Bo taki Operator szybko by zbankrutował albo Organizator naraziłby się o złamanie prawa i udzielenie nielegalnej pomocy publicznej
3) zamówienia in house - tu może być wynagrodzenie koncesyjne lub rekompensata (w wysokości stanowiącej sumę poniesionych kosztów powierzonej usługi + rozsądny zysk - dochody z działalności powiązanej) - to bardzo częste rozwiązanie w dużych miastach.

Oczywiście to króciutka ściąga z dużymi uproszczeniami. We wcześniejszych postach pisałem o tym dużo dużo więcej :-) Rozumie, że ilość postów może przytłaczać, ale po to np. stosuję etykiety. 

Dobra starczy, Compliance czeka :-)

A przy okazji kolejny polecam artykuł, którego jestem współautorem: "Czym powinien się kierować biznes? Maksymalnym zyskiem, czy innymi wartościami?".

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 29

Minął miesiąc i czas na kolejny odcinek Ciekawostek z prawa handlowego.

No to zaczynamy od tego co tygryski lubią najbardziej, czyli COMPLIANCE.

Miesiąc temu pisałem, że w Gazecie Prawnej pojawił się artykuł, iż Ministerstwo Sprawiedliwości przedstawi niedługo nowy projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych. Internet zaroił się wtedy artykułami o pogłoskach itd., a ja czekałem na projekt ustawy. No dobra zgłosiłem wniosek de lege ferenda co do kary. I się projektu nie doczekałem. Projektu jak nie było, tak nie ma.

Ale za to pojawiły się wytyczne CBA w zakresie tworzenia i wdrażania efektywnych programów zgodności (compliance) w sektorze publicznym. Artykuł o tym będzie wkrótce na prawo.pl i na Inforze. Radzę więc śledzić bloga i mój profil Linkedln. Można też już przeczytać moją opinię na prawo.pl. Cytuję: "Paweł Ludwiczak, radca prawny i compliance officer, nie ma wątpliwości, że nowe regulacje, wytyczne, a także edukacja spowodują, że w najbliższym czasie wzrośnie świadomość decydentów i rozpocznie się wdrażanie Public Compliance w Polsce. - W efekcie za kilka lat nie będziemy mówić ogólnie o systemach zgodności w sektorze publicznym, ale w administracji rządowej, samorządowej oraz spółkach komunalnych i Skarbu Państwa - podsumowuje.".

Jeżeli chcesz mnie zobaczyć i posłuchać (on-line) to zapraszam na Virtual Public Compliance Summits, gdzie będę prelegentem.

Przy okazji to prowadzę m.in. szkolenia z Compliance (choć pewnie o tym wiesz). A TU jest jeden z moich profili szkoleniowca.

Bym zapomniał. Na YouTube pojawił się kolejny wywiad ze mną. Oczywiście o spółkach, RODO i Compliance.

Skoro już mówimy o szkoleniach, to polecam szkolenie "2,5 roku z RODO – o czym trzeba pamiętać? – „Problemy z RODO dopiero się zbliżają”", które jest zaplanowane na 25 listopada br. Mam nadzieję, że koronawirus nie zmusi mnie znów do przełożenia jego terminu.

Skoro już jesteśmy przy RODO, to NIK skontrolował urzędy w największych miastach. O dziwo okazało się, że naprawdę nie jest źle. Choć idealnie też nie jest. No ale życie. Raport znajdziesz TU.

RODO to informacje i dane. A skoro mowa o informacjach to polecam artykuł, którego jestem współautorem: "Czas nadmiaru informacji - wyzwania XXI w. dla przedsiębiorców".

I przy okazji w październikowym wydaniu Gazety Małych i Średnich Przedsiębiorstw znajdziesz aż dwa artykułu mojego współautorstwa. Ale jeszcze będę się nimi chwalił.

Ostatnio bierze mi się na wspominki. W poście "Jak minął prawie rok z Dyrektywą o Sygnalistach?" wspominałem wydarzenia Compliance. Dziś chciałbym wspomnieć wydarzenie, które zainspirowało mnie by zacząć pisać poradnik "Prawnik w social mediach" (wspominałem o tym TU). To było ponad rok temu, Innovative Lawyers' Consultants 2019.

Prace nad poradnikiem powoli ruszają. 

I tym wspomnieniem przeszłości, które mam nadzieję jest zapowiedzią przyszłości (bo kocham występować) dziś kończymy.

Niech moc Compliance będzie z wami.

Ps niedługo, już za 4 tygodnie, odcinek nr 30 ciekawostek i kolejna rocznica bloga.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 28

Dziś daniem głównym będzie krótka analiza projektowanej zmiany Kodeksu Spółek Handlowych.
Ale najpierw przystawki.

UOKiK zabrał się za uświadamianie Zarządów, że za zawieranie porozumień ograniczających konkurencję może na nich osobiście nałożyć sankcję do dwóch milionów zł. Swoją droga to ciekawy pomysł. Jakby na Członków Zarządu i Rad Nadzorczych móc nałożyć sankcje za łamanie prawa przez zarządzane przez nich podmioty to zarządzanie i nadzór pewnie by się w niektórych przypadkach poprawił. W końcu nic tak nie boli jak uderzenie po kieszeni.

W Gazecie Prawnej pojawił się artykuł, że Ministerstwo Sprawiedliwości przedstawi niedługo nowy projekt nowej ustawy o odpowiedzialności podmiotów zbiorowych. Podobno ustawa ma dotyczyć głównie dużych przedsiębiorstw, podobno za brak Compliance ma być 50 mln zł kary, podobno ..... itd.
Do tego pojawił się artykuł o planach wdrożenia konfiskaty prewencyjnej - kolejny "genialny" pomysł Ministerstwa Sprawiedliwości.
No i internet zaroił się artykułami o pogłoskach itd. Mam taką zasadę omawiam projekty, które czytałem a nie plotki. Dlatego nie będę linkował jak inni artykułów GP ani pisał co tam podobno szykują. Poczekam na projekty, potem je przeczytam, a potem o nich napiszę.
 

Natomiast chciałbym się odnieść co do kary 50 mln zł.
Po pierwsze uważam, że kara za brak lub pozorność systemu Compliance powinna wynosić 100 mln zł lub 10% światowego przychodu podmiotu (lub grupy kapitałowej do której należy) lub 10% aktywów podmiotu (lub grupy kapitałowej do której należy).
Po drugie, nigdy surowa kara nikogo nie powstrzymała przed łamaniem prawa. To nieuchronność kary powstrzymuje przed łamaniem prawa. A jak patrzę na RODO to kary teoretycznie są surowe - plus, faktycznie wydają się rozsądne - plus, jest ich strasznie mało i chyba jeszcze nikt nie zapłacił. Choć ostatnio WSA uznał, że Prezes UODO prawidłowo nałożył karę na Burmistrza Aleksandrowa Kujawskiego. Więc z nieuchronnością jest raczej kiepsko - minus. Dlatego wiele podmiotów zaczęło lekceważyć RODO.

A wiecie jaki jest prawdziwy problem z tymi ustawami. Pierwszy to upolitycznienie Prokuratury i brak rozumienia biznesu przez Prokuratorów. Drugi to niszczenie niezależności Sądów przez Pana Z., który kontroluje Prokuraturę.

Jeżeli już jesteśmy przy RODO, to PUODO uaktywnił się bardziej i zasypuje nas aktualnościami itd. Bardzo chwalę jego działalność edukacyjną. Tylko czy mógłby niektóre wytyczne wydawać szybciej. A co ważniejsze czy mógłby je konsultować z prawnikami i biznesem. Bo niektóre są mocno kontrowersyjne, choćby to spełnianie obowiązku informacyjnego wobec członków spółek kapitałowych gdy podpisują umowę.

Poza tym przydałby się "cennik" kar i większa ilość kontroli. Myślę, że kilkaset mandatów dla dużych przedsiębiorstw i administracji (zwłaszcza rządowej i poczty - ta za przetwarzanie danych wyborców bez podstawy prawnej powinna dostać parę milionów zł kary) po kilkanaście - kilkadziesiąt tysięcy zł. nauczyłoby wszystkich szacunku do RODO.

Poza tym PUODO mogłoby powydawać dobre wzorce :-) może to by skończyło z praktyką sprzedaży dokumentacji RODO, a otworzyłoby znowu rynek wdrażania systemów ochrony danych osobowych i ich audytów.

Pozostając przy PUODO to pojawiło się nowe Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych. A w nim sporo ciekawych informacji.

Na stronie RCL pojawił się Projekt ustawy o otwartych danych i ponownym wykorzystywaniu informacji sektora publicznego

Dobra czas na danie główne. Dziś będzie krótko o nowelizacji KSH. W dniu 5 sierpnia 2020 r. pojawił się na stronie RCL projekt zmiany KSH- LINK
W sumie mamy 50 propozycji zmian. Nie będę tu omawiał ich po kolei tylko podsumuję.
1. To próba wprowadzenie do Polski tzw. prawa holdingowego. Nie ukrywam, że prawo holdingowe by się przydało ale ..... Proponowane regulacje oceniam negatywnie.  PRIMO - brak odpowiedniego zabezpieczenia interesów wierzycieli spółek zależnych, a wręcz pogorszenie ich sytuacji. SECUNDO naruszenie interesów pozostałych udziałowców/akcjonariuszy. Na świecie jest trend by szerzej uwzględniać interesy wszystkich interesariuszy i uwzględniać interesy mniejszościowych wspólników/akcjonariuszy. Ten projekt nie wpisuje się w ten trend.

2. Próba wzmocnienia Rad Nadzorczych. O ile popieram ideę zmiany sposobu myślenia o radzie nadzorczej – z pojmowania jej jako organu czysto kontrolnego w kierunku organu będącego równoprawnym partnerem zarządu, mającym dostęp do informacji oraz do realnych instrumentów nadzoru, to już niestety wykonanie - tj. proponowane przepisy jakoś budzą mój niedosyt albo obawy. Na pewno przyjrzę im się bliżej. 

3. Mój opór budzi wydawanie wiążących poleceń spółkom zależnym. Burzy to obecną filozofię działania Spółek kapitałowych i ich organów.

Ciekawostki z prawa handlowego i nie tylko - odcinek nr 27

Dopiero co opublikowałem "Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26" a tu minął kolejny miesiąc. 

Polecam lekturę artykułu, który napisałem z Jerzym Kossakowskim. Znajdziesz go w sierpniowym wydaniu http://gazeta-msp.pl/

Ostatnio sobie wszedłem w LEX`ie w Kodeks Spółek Handlowych. Kliknąłem w wersje i wyświetliło się w 2020 r.: wersja z 1 stycznia, z 1 marca, z 31 marca, z 18 kwietnia, z 1 lipca, z 3 września i z 1 grudnia. Czy naprawdę KODEKS musi się zmieniać 7 razy w roku? To nie wpływa na pewność prawa i obrotu.

Druga rzecz, której nie lubię to zmian do zmian projektów.  W dniu 1 stycznia 2021 r. ma obowiązywać nowe Prawo Zamówień Publicznych. A na stronie Rządowego Centrum Legislacji pojawił się projekt ustawy o zmianie ustawy o umowie koncesji na roboty budowlane lub usługi, ustawy ‒ Prawo zamówień publicznych oraz ustawy ‒ Przepisy wprowadzające ustawę ‒ Prawo zamówień publicznych. Ktoś kupił komentarz do nowej ustawy lub był na szkoleniu? Liczył na to, że choć raz z powodu długiego vacatio legis spokojnie przeczyta nowe prawo? A nie ma gwarancji, że jeszcze coś się nie zmieni.

Powinienem przeczytać nowe prawo zamówień publicznych. Ale nie wiem jaką wersję mam czytać. 

A nie lubię sobie zaśmiecać głowy nieaktualną lub błędną wiedzą.

A korzyści z długiego vacatio legis poszły się ...... przejść.

Skoro już jesteśmy przy spółkach. Na stronie https://www.iia.org.pl/aktualnosci można znaleźć zaktualizowany model trzech linii obrony IIA 2020 r. - LINK dla leniwych :-) Wiem co sobie poczytam m.in. w sierpniu.  Choć widać, że pisali to audytorzy :-)

Pozostając w klimatach Spółek. To można obejrzeć kolejne filmy - wywiady ze mną. Polecam m.in. "Po co komu bezpieczna firma ? Co ci grozi prowadząc firmę ? Jak funkcjonują duże firmy ? Compliance". Można zobaczyć mnie i posłuchać :-)

Zawsze dużo czytałem i myślałem. Po jednym z artykułów przyszło mi do głowy pytanie: lepiej zarządzać żelazną ręką i poddawać pracowników ścisłej kontroli czy też lepiej zadbać o budowę silnej kultury organizacyjnej, której podmiotem będzie zmotywowany, zaangażowany, odpowiedzialny i lojalny pracownik, odpowiednio wyposażony i wspierany? 

Powyższe pytanie można rozpatrywać w różnych aspektach.

Po pierwsze w świetle wymagań Biznesu 4.0 czy też Biznesu 5.0. Jak pisałem w jednym ze swych postów czy artykułów nie ma nowoczesnego biznesu bez kreatywności, a tej nie ma bez zaufania. A ścisła kontrola i rządy żelaznej ręki zaufaniu i kreatywności nie służą. Oczywiście kontrola zawsze musi być. Inaczej "okazja czyni złodzieja". Ale to powinna być trzecia linia obrony a nie pierwsza.

Po drugie na to pytanie można patrzeć w świetle COMPLIANCE i whistleblowing`u. Na świecie najwięcej nadużyć jest wykrywanych dzięki sygnalistom i wtedy straty są najmniejsze. Sygnalistą może być każdy pracownik, kontrahent itd. Ale trzeba zbudować najpierw Kulturę gdzie nadużycia będzie się ścigać i karać a nie ukrywać lub zamiatać pod dywan. Statystycznie każdego roku organizacje tracą około 5% swoich przychodów w wyniku nadużyć. Compliance, w tym sprawne systemy przyjmowania zgłoszeń i podejmowania działań następczych po prostu się opłacają.

Biznes się zmienia, a wraz z nim musi zmieniać się Compliance. Trzeba pamiętać m.in. o:

1) cyberbezpieczeństwie i wyzwaniach cyfryzacji. Ale i możliwościach, które daje,

2) strategii - Compliance nie to koszt, ale inwestycja i niezbędny element strategii i podmiotu,

3) zaufaniu i ludziach - to podstawa,

4) plan jest niczym, planowanie jest wszystkim.

Odcinek bez RODO to odcinek stracony :-) Ostatnio pisałem o IOD`zie to dziś tylko wspomnę, że trwają dyskusje w związku z uchyleniem "Tarczy prywatności". Polecam artykuł panoptykonu - LINK  :-)

Wybaczcie ale mamy sezon wakacyjny i dłużej nie będę was męczył

Niech moc Compliance i RODO będzie z wami :-)

IOD - mistrz Jedi, rycerz Jedi czy padawan? A oficer Compliance?

W ramach treningu intelektualnego spróbujmy odpowiedzieć na pytanie: "IOD to mistrze Jedi, rycerz Jedi czy padawan?". Brak miecza świetlnego i mocy pomińmy.

Ale najpierw wstęp :-)

W grudniu 2019 r. popełniłem artykuł: "Inspektor Ochrony Danych - kiedy musi być, kim powinien być a kim bywa - czyli 7 pytań o IOD`a". O IOD`ach pisałem też w innych artykułach na blogu (np. "Ciekawostki z prawa handlowego i nie tylko - odcinek nr 26") lub na Inforze (np. "Łączenie funkcji oficera Compliance lub Inspektora Ochrony Danych z innymi funkcjami w organizacji"). Dlaczego pomimo ponad dwóch lat obowiązywania RODO cały czas piszę o Inspektorach Ochrony Danych?

Inspektor Ochrony Danych ma kluczowe znaczenie dla funkcjonowania systemu bezpieczeństwa danych osobowych. Podobnie jak oficer Compliance w przypadku Systemów Compliance. A niestety często brak go, jest nim nieodpowiednia osoba lub najczęściej brak mu odpowiednich zasobów i umocowania. Może moja edukacja na temat IOD`ów coś pozwoli zmienić na lepsze w tym zakresie.

No ale co z tymi Jedi?

IOD w organizacji pełni funkcję mistrza Jedi. To on zgodnie z RODO między innymi dostarcza wiedzy organizacji i udziela zaleceń. Bez niego w podmiocie brak by było wiedzy. A wiedza to do potęgi i bezpieczeństwa klucz.

IOD w organizacji pełni też funkcję rycerza Jedi. To on monitoruje przestrzeganie przepisów, współpracuje z PUODO i pełni funkcję punktu kontaktowego. To on kieruje walką i jest często na pierwszej linii walki z zagrożeniami (dla organizacji oraz praw i wolności osób) związanych z przetwarzaniem przez organizację danych osobowych.

IOD jest też padawanem. Musi cały czas się uczyć i doskonalić swój warsztat, ponieważ: 

1) prawo się zmienia lub jego interpretacja,

2) organizacje się zmieniają i procesy przetwarzania danych osobowych się zmieniają (w tym powstają nowe),

3) ryzyka ewoluują,

4) środki zabezpieczeń się zmieniają,

5) itd. 

A kto nie rozwija się, ten się cofa. A IOD swą wiedzę utrzymywać musi. A najlepiej by coraz mocniejszy w wiedzy był.

No i na Inspektorów Ochrony Danych woła się czasami IOD`a. A chyba każdy wie kim był mistrz YODA :-)

Z oficerem Compliance jest tak samo. Tylko on się zajmuje zarządzaniem ryzykami prawnymi a nie ochroną danych osobowych.

Wiele podmiotów oszczędza na ochronie danych osobowych i na Compliance. Traktując to jako koszt. A to inwestycja w bezpieczeństwo, przewagę konkurencyjną, markę i w budowę lepszej, odporniejszej i bardziej etycznej organizacji.

Niech moc RODO i Compliance będzie z wami i was prowadzi